Скажите пожалуйста, как мне можно мониторить работу фаирвола, его правил. Хотелось бы видеть что он запрещает и каким правилом.

• Мониторинг пакетов, проходящих/непроходящих через ipfw,hromach, 12:08 , 20-Янв-06
  • Мониторинг пакетов, проходящих/непроходящих через ipfw,Skif, 12:12 , 20-Янв-06
• Мониторинг пакетов, проходящих/непроходящих через ipfw,stan, 13:02 , 20-Янв-06
  • Мониторинг пакетов, проходящих/непроходящих через ipfw,Skif, 14:39 , 20-Янв-06
    • Мониторинг пакетов, проходящих/непроходящих через ipfw,stan, 07:57 , 23-Янв-06
      • Мониторинг пакетов, проходящих/непроходящих через ipfw,atckae, 08:30 , 23-Янв-06
        • Мониторинг пакетов, проходящих/непроходящих через ipfw,stan, 12:43 , 26-Янв-06

>Скажите пожалуйста, как мне можно мониторить работу фаирвола, его правил. Хотелось бы
>видеть что он запрещает и каким правилом.

для начала нужно узнать имя ОС

>>Скажите пожалуйста, как мне можно мониторить работу фаирвола, его правил. Хотелось бы
>>видеть что он запрещает и каким правилом.
>
>для начала нужно узнать имя ОС

ipfw  - подефолту FreeBSD :)
man ipfw
............
     log [logamount number]
             When a packet matches a rule with the log keyword, a message will
             be logged to syslogd(8) with a LOG_SECURITY facility.  The log-
             ging only occurs if the sysctl variable net.inet.ip.fw.verbose is
             set to 1 (which is the default when the kernel is compiled with
             IPFIREWALL_VERBOSE) and the number of packets logged so far for
             that particular rule does not exceed the logamount parameter.  If
             no logamount is specified, the limit is taken from the sysctl
             variable net.inet.ip.fw.verbose_limit.  In both cases, a value of
             0 removes the logging limit.

             Once the limit is reached, logging can be re-enabled by clearing
             the logging counter or the packet counter for that entry, see the
             resetlog command.

             Note: logging is done after all other packet matching conditions
             have been successfully verified, and before performing the final
             action (accept, deny, etc.) on the packet.

..............

Да и вообще сам man ipfw в целом. Где-то натыкалсчя на переведенный, но где - не вспомню.

Хочу мониторить из за того, что не могу пинговать внешние хосты из локалки. прописал правила для пинга, да и вообще нет каких либо запрещающих правил. Вот и хочу выяснить в каком там месте затычка стоит

>Хочу мониторить из за того, что не могу пинговать внешние хосты из
>локалки. прописал правила для пинга, да и вообще нет каких либо
>запрещающих правил. Вот и хочу выяснить в каком там месте затычка
>стоит

ipfw sh
ipfw show
Смотришь. и понимаешь.

>ipfw sh
>ipfw show
>Смотришь. и понимаешь.

Я конечно всё там понимаю, но как бы я обнаружил куда пропадают пинги, если бы перед
add divert natd all from any to any via rl0
стояло бы правило
add allow icmp from any to any

?

>>ipfw sh
>>ipfw show
>>Смотришь. и понимаешь.
>
>Я конечно всё там понимаю, но как бы я обнаружил куда пропадают
>пинги, если бы перед
>add divert natd all from any to any via rl0
>стояло бы правило
>add allow icmp from any to any
>
>?
Гражданин! Для отладки смотрите tcpdump какие и куда покеты ходют и с каких ипи адресов! До диверта на нат нельзя ставить вот такое add allow icmp from any to any пинги будут идти с серых адресов минуя нат и соответсвенно не возвращаться вам :)))
Удачи и  помните враг не дремлит!! :)

>Гражданин! Для отладки смотрите tcpdump какие и куда покеты ходют и с
>каких ипи адресов! До диверта на нат нельзя ставить вот такое
>add allow icmp from any to any пинги будут идти с
>серых адресов минуя нат и соответсвенно не возвращаться вам :)))
>Удачи и  помните враг не дремлит!! :)

Спасибо, товарищ! Партия вас не забудет! :))